沈陽理工大學信息科學與工程學院　張丹丹　李愛華　黃訓華

?

基于BP算法的Web攻擊溯源技術(shù)研究

沈陽理工大學信息科學與工程學院張丹丹李愛華黃訓華

研究Web攻擊源追蹤技術(shù)，采用BP算法對基本包標記提出改進策略，設計溯源方案?；贜S2仿真平臺進行測試，對實驗結(jié)果進行分析，仿真實現(xiàn)了基于BP算法對Web攻擊源的追蹤，滿足了溯源速度快和溯源準確性高的要求。

Web攻擊；BP算法；IP溯源；NS2仿真

隨著業(yè)務系統(tǒng)越來越多的采用基于Web服務方式，針對Web業(yè)務的攻擊迅速增長，嚴重威脅了網(wǎng)絡安全［1］。在IP追蹤技術(shù)發(fā)展的過程中，主要出現(xiàn)了包標記、鏈路測試、路由日志等方法，Savage等人于2001年首先提出了概率包標記算法，他們提出的節(jié)點采樣、邊采樣和分段標記算法被廣泛應用于隨之出現(xiàn)的各種優(yōu)化方案中。

1　Web攻擊概述

1.1Web攻擊分類

Web攻擊可以分為三類：一是利用Web服務器的漏洞進行攻擊；二是利用網(wǎng)頁自身的安全漏洞進行攻擊；三是利用僵尸網(wǎng)絡的分布式 DoS 攻擊。

1.2SQL注入

SQL注入是針對應用程序中的漏洞，利用SQL語法，當攻擊者操作數(shù)據(jù)時，向應用程序中插入一些SQL語句，欺騙數(shù)據(jù)庫服務器執(zhí)行非法授權(quán)的任意查詢，篡改和命令執(zhí)行［4-5］。

1.3（D）DoS攻擊

DoS攻擊是指故意攻擊網(wǎng)絡協(xié)議實現(xiàn)的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源，使目標系統(tǒng)服務系統(tǒng)停止響應甚至崩潰。

隨著計算機的處理能力增強，出現(xiàn)了DDoS攻擊［3，6］，這是一種特殊的DoS攻擊，具有極高的隱蔽性和極強的破壞性［7-9］。在本文中，將DDoS攻擊作為實驗仿真的對象。

2　Web攻擊中的IP溯源技術(shù)

IP溯源技術(shù)主要是在路由器的幫助下回溯出包經(jīng)過的路徑或包的源地址。

在IP溯源發(fā)展中，有很多技術(shù)，但是其中的很多方法，受到很多因素的限制，未能成為IP溯源的主流方法，而包標記法具備事后追蹤，帶內(nèi)傳輸?shù)膬?yōu)勢，是當前的研究重點。

3　基于BP算法的IP溯源技術(shù)研究

針對上述問題，本文提出解決方案，采用BP算法，對攻擊包進行初步檢測，基于包標記算法進行改進，有效IP溯源，重構(gòu)攻擊路徑。

3.1BP算法分析

BP 網(wǎng)絡是反向傳播（Back Propagation）網(wǎng)絡［12-13］。BP算法是目前較為成熟的應用在前饋多層神經(jīng)網(wǎng)絡中的學習算法，采用最小均方差學習方式。

3.2基于BP算法的SQL注入攻擊追蹤

該算法利用BP神經(jīng)網(wǎng)絡的自適應和自學習的能力，通過對權(quán)值的不斷調(diào)整，對其訓練，使其從合法站點頁面和以往SQL注入后的頁面進行比較，總結(jié)出敏感特征的正常狀態(tài)模型，作為敏感特征異常檢測的模型。

3.2.1包標記算法描述

概率包標記是指路由器以某種概率將部分路徑信息標記在通過此路由器的數(shù)據(jù)包中，受害者可以根據(jù)所獲IP地址的頻率對這些路由器進行排序，重構(gòu)攻擊路徑。

在標記過程中，標記空間的設置很重要，特別是針對偽造源信息，要有所作用。此外，選取最合適的概率同樣重要，設概率為d，那么任意距離的路由器是最后一個標記數(shù)據(jù)包的概率為1/d，受害者重構(gòu)路徑所需的數(shù)據(jù)包最少［16-17］。

3.2.2包標記策略的改進

（1）設計BP算法模型，對SQL注入攻擊進行初步檢測。

輸入層節(jié)點個數(shù)為SQL注入攻擊時，提取的異常特征向量的個數(shù)。輸出層節(jié)點個數(shù)為1，輸出0～1之間的實數(shù)，表示被檢查頁面的異常度。計算隱藏層節(jié)點個數(shù)的公式：

其中Nh為隱藏節(jié)點個數(shù)，Ni為輸入層節(jié)點數(shù)，No為輸出層節(jié)點數(shù)。神經(jīng)網(wǎng)絡的輸出ep是0～1的模糊數(shù)，輸出值越接近1，異常程度越大。當值越接近0，可認為是正常頁面，沒有SQL注入攻擊。

（2）設計標記空間。

使用IP包頭中未被使用的域來記錄路由信息。在本文中，使用Identification域（16位）、標志域（1位）以及TTL域（5位），共使用25位。將32位的IP地址分為兩片，將任意一片放在16位的Identification域，標志域的第一位用來標識分片的偏移：1表示該分片是地址的高16位，0表示是地址的低16位。使用TOS域的最后1位用來表示數(shù)據(jù)包標記的狀態(tài)：0表示未被標記，1表示已被標記。

（3）標記概率的選擇。

采用數(shù)據(jù)包中的TTL值代替包標記方法中的Distance域。

設路由器Ri對數(shù)據(jù)包的標記概率為為Pi。

取P1=1，當數(shù)據(jù)包到達R2時，P2=d0=1/2；當數(shù)據(jù)包到達R3時，

由前文知道，當Pd=1/d時，路徑重構(gòu)所需的數(shù)據(jù)包的數(shù)量最少，將其帶入（2） （3） （4）公式，得：

d0=1/2=0.5，d1=1/6≈0.1667，d2=1/10=0.1，d3=19/270≈0.07，d4=27/502≈0.054，d5=863/19950≈0.043......如果，攻擊者對數(shù)據(jù)包中的信息進行偽造，那么數(shù)據(jù)包中的距離域會設置很大，使得后面路由器標記數(shù)據(jù)包的概率變得很小，增加了溯源的不確定性［17-18］。所以在概率變的很小之前，選擇一個合適的概率，為0.04-0.05，本文概率取值為0.04。

（4）路徑重構(gòu)。

從距離受害者1跳的路由器開始，將所有距離域d值相同的數(shù)據(jù)包按照offset的不同值分成8個集合，用n表示哈希函數(shù)的編號，取0，1，2，3，4，5，6，7。從d=0開始，攻擊路徑上到受害者距離為d的節(jié)點的每個上游路由器R，進行哈希運算。如果8個分片的哈希運算結(jié)果屬于（d，n），那么將此路由器R計入到受害者距離為d+1處，并作為到受害者d處的一條邊。依次處理，直到d為最大值而不能繼續(xù)。

4　仿真結(jié)果及其分析

利用NS2對DDoS攻擊進行模擬，得到關(guān)于收斂速度和精確度兩方面的結(jié)果。

（1）收斂速度。

對于不同路徑，分別模擬基本包標記和本文改進的概率包標記的過程，多次模擬再取平均值。

在本文中，p=0.04。

重構(gòu)路徑需要的包數(shù)量（平均值）

由上面實驗數(shù)據(jù)可得：在本文提出的改進方案中，重構(gòu)路徑所需的數(shù)

據(jù)包數(shù)目只需要基本數(shù)據(jù)包的約1/4左右，達到了比較理想的收斂效果。

（2）準確率。

假設在距離受害者d處，已經(jīng)得到k個路由器，其上游的路由器的數(shù)量為m個，對于任意一個32位的組合數(shù)，通過哈希檢驗的概率約為，在本文算法中的，誤報數(shù)約為，基本包標記的誤報數(shù)為，我們得到，準確率得到提高。

6　結(jié)束語

針對常見的Web攻擊，采用BP算法對攻擊包進行初步檢測，在基本包標記算法基礎上進行包頭編碼優(yōu)化，并在NS2仿真測試。結(jié)果顯示，基于BP算法的IP溯源技術(shù)，在理論方面具有高效、誤差較小、路由負載得到有效減輕等優(yōu)勢。

由于本文提出的溯源方案，只是在網(wǎng)絡虛擬平臺上進行實驗，且可供參考的理論文獻數(shù)量有限，在實際Web攻擊中，該方案需要進一步改善。

［1］魏春霞，張琳琳，趙楷.基于源地址偽造的Web服務DoS攻擊防御方法［J］.計算機工程與設計，2014，35（09）:3034-3035.

［2］徐書欣，王希軍.Web頁面中SQL注入攻擊過程及防御措施［J］.信息技術(shù)，2014，8（08）:187-189.

［3］劉小虎，張明清，程建，范濤.DDoS攻擊建模仿真平臺設計與實現(xiàn)［J］.計算機工程與設計，2014，35（04）:1361-1362.

［4］劉建軍.Web入侵檢測技術(shù)研究［D］.北京郵電大學，2015.

［5］韓濤.基于解析樹的SQL注入檢測方法研究［D］.哈爾濱工業(yè)大學，2013.

［6］余雙成.DDoS攻擊檢測技術(shù)研究［D］.北京郵電大學，2013.

［7］黃宸.Web服務DDoS攻擊的防御技術(shù)研究［D］.北京郵電大學，2013.

［8］靳娜.DDoS攻擊下的數(shù)據(jù)包標記優(yōu)化方案的研究［D］.電子科技大學，2013.

［9］趙會平.面向DDoS攻擊的溯源技術(shù)研究［D］.電子科技大學，2013.

［10］林白露，楊百龍，毛晶等.IP溯源技術(shù)及其分類方法研究［J］.電腦知識與技術(shù)，2012，34（05）:3044-3045.。

［11］齊開誠.IPv4/IPv6網(wǎng)絡攻擊溯源系統(tǒng)的研究與實現(xiàn)［D］.北京郵電大學，2013.

［12］卓林超，王堃.大數(shù)據(jù)中面向亂序數(shù)據(jù)的改進型BP算法［J］.系統(tǒng)工程理論與實踐，2014，34（06）:159-162.

［13］任謝楠.基于遺傳算法的BP神經(jīng)網(wǎng)絡的優(yōu)化研究及MATLAB仿真［D］.天津師范大學，2014.

［14］劉紅.基于DPPM的IP追蹤方法研究［D］.上海交通大學，2013.

［15］奚洋.基于概率包標記的入侵追蹤技術(shù)研究［D］.南京航空航天大學，2013.

［16］馮波.基于IPv6的概率包標記路徑溯源方案［J］.計算機工程與應用，2016.